1. 主頁
  2. 保安警報
  3. 保安警報 (A20-05-04)

保安警報 (A20-05-04): ISC BIND 漏洞


 

發布日期: 2020年 5月 20日

  
  

描述:

Internet Systems Consortium (ISC) BIND 軟件被發現存有漏洞。遠端攻擊者可發送特製的查詢從而導致 DNS 迴環解析器(recursive resolver)在處理轉介回應時發送大量提取(fetches)。

BIND 9.13 及 BIND 9.15 是已過時的不穩定開發分支,並且沒有安全更新提供。用戶應安排升級 BIND 至最新的支援版本,或轉至其他受支援的技術。

 

受影響的系統:

  • BIND 9.0.0 至 9.11.18
  • BIND 9.9.3-S1 至 9.11.18-S1
  • BIND 9.12.0 至 9.12.4-P2
  • BIND 9.13.x
  • BIND 9.14.0 至 9.14.11
  • BIND 9.15.x
  • BIND 9.16.0 至 9.16.2
  • BIND 9.17.0 至 9.17.1

 

影響:

成功利用漏洞可導致受影響的系統性能下降,或者濫用受影響的系統進行反射攻擊。

 

建議:

ISC 已發行了以下的修補程式以應對上述問題。

  • BIND 9.11.19
  • BIND 9.11.19-S1
  • BIND 9.14.12
  • BIND 9.16.3
    https://www.isc.org/download/

受影響系統的管理員應遵從產品供應商的建議,立即採取行動以降低風險。

 

進一步資訊:

https://kb.isc.org/docs/cve-2020-8616
https://kb.isc.org/docs/bind-9-end-of-life-dates
https://ftp.isc.org/isc/bind9/9.13.0/RELEASE-NOTES-bind-9.13.0.html
https://ftp.isc.org/isc/bind/9.15.7/RELEASE-NOTES-bind-9.15.7.html
http://www.nxnsattack.com/
https://www.hkcert.org/my_url/zh/alert/20052003
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8616

 



標籤 : BIND , ISC
標籤